Apple hat den „Zentralschlüssel “ für Daten in der iCloud

[naich]

Wuala scheint das wirklich besser hand zu haben

Zumindest sagen sie das. Nachprüfen kann es auch niemand. Sie wollten ja mal schon vor einiger Zeit den Verschlüsselungs-Teil der Software unter Open Source stellen, damit dies jeder nachprüfen kann. Aber passiert ist da immer noch nix.

 

[-Josch-]

Das Apple Zugriff auf die Daten hat, war von vorneherein klar. Ich halte das trotzdem weder für notwendig, noch für richtig.

der Grund wurde bereits erwähnt - der Patriot Act von 2001. Das hat mit Apple rein gar nichts zu tun sondern betrifft alle amerikanischen Unternehmen - lest mal das hier - auch Microsoft und Google haben bereits Daten an die US-Behörden rausgegebe - eben aufgrund des Patriot Act: http://www.heise.de/ix/artikel/Zugriff-auf-Zuruf-1394430.html

 

[olemax]

der Grund wurde bereits erwähnt - der Patriot Act von 2001. Das hat mit Apple rein gar nichts zu tun sondern betrifft alle amerikanischen Unternehmen - lest mal das hier - auch Microsoft und Google haben bereits Daten an die US-Behörden rausgegebe - eben aufgrund des Patriot Act: http://www.heise.de/ix/artikel/Zugriff-auf-Zuruf-1394430.html

Auch in anderen Staaten ist es möglich, Daten auf einem Server zu beschlagnahmen. In Deutschland geht das per Gerichtsbeschluss, z.B. bei begründetem Verdacht auf eine Straftat. Ist ja auch in Ordnung, dass das geht. Solange es nicht missbraucht wird.

Man sollte sich halt nicht der Illusion hingeben, dass irgendwelche Daten irgendwo auf eine Server uneinsehbar sind. Verschlüsselt oder unverschlüsselt. Auch Daten auf Kuala wären im Zweifelsfall einer Strafverfolgung einsehbar.

Und ob man nun einem Anbieter vertraut, dass er sich nicht in den Daten seiner User umsieht oder nicht, das bleibe mal jedem überlassen. Ich für meinen Teil traue apple da eine gewisse Diskretion zu, denn apple lebt nicht von den Daten seiner User. Sondern vom Verkauf von Produkten. Google hingegen lebt aus meiner Sicht ausschliesslich vom analysieren, aggregieren und verwerten von Daten. Deswegen vertraue ich denen weniger.

 

[Warp-x]

Hahahahahaha... Der war gut. "Hey, Apple ist mir aus Privacy-Gründen nicht geheuer, ich speichere lieber bei Google, die sind ja bekannt für ihre unverwüstliche Verteidigung von indivduellen Datenschutzrechten ..."



Generell sollte einem bewusst sein dass in der klassischen "Cloud" der Cloud-Betreiber immer vollen Zugriff auf die Daten hat.

(...)

Danke für die Information über Wuala. Leider ist das nicht wonach ich suche.

"Datenschutzrechte" sind mir nicht so wichtig, vor allen Dingen weil meiner Meinung nach nicht mehr lange auf die heutige Art und Weise funktionieren können. (Off-topic: Die Verteidigung jener Rechte halte ich für weniger wichtig, als z.B. die Verteidigung der absoluten Souveränität der Staaten über die Wirtschaft oder eine Reform von Politik und Demokratie.)

Ich brauche für meine Arbeit reibungslos funktionierenden Datentransfer. Ich verwende viele integrierte Dienste (nicht alleine Google Apps) und diese Dienste teilen (optimaler Weise) Daten unter einander. Ohne weit gefasste Datenschutzbestimmungen ließe sich das nicht bewerkstelligen. Hierbei rede ich z.B. auch von Kontaktinformationen oder andere detailierte beziehungsbezogene Daten.

Google will mir Werbung verkaufen, dabei werden meine Daten nicht mit Dritten gehandelt denn damit beraubte Google sich des eigenen Geschäftsmodels. Apple ist mir nicht geheuer, weil mir das Geschäftsmodel von Apple wie ein totalitärer Staat vorkommt und ich Angst habe Apple "mehr Macht" über mich und meine Daten zu geben.

Daten von denen niemand wissen darf sollten nicht niedergeschrieben sein. Wenn es nicht anders geht, dann sollte man eine Verschlüsselung einsetzen, wobei man sich bewusst sein muss, dass über kurz oder lang jede Verschlüsselung entschlüsselt werden wird.

 

[SilentCry]

...Wenn es nicht anders geht, dann sollte man eine Verschlüsselung einsetzen, wobei man sich bewusst sein muss, dass über kurz oder lang jede Verschlüsselung entschlüsselt werden wird.

Wichtig ist das "oder lang". Wenn das "oder lang" bedeutet, dass die Neofaschisten Milliarden von Milliarden von Fantastillionen von Jahrtausenden brauchen, bevor sie meine Daten in Klartext haben dann ist mir das "lange genug".

 

[Warp-x]

Wichtig ist das "oder lang". Wenn das "oder lang" bedeutet, dass die Neofaschisten Milliarden von Milliarden von Fantastillionen von Jahrtausenden brauchen, bevor sie meine Daten in Klartext haben dann ist mir das "lange genug".

Oder die von Dir vorgeschlagenen Neofaschisten bekommen in den nächsten Jahren Hardware und Software die das in 2 Minuten macht.


Und wenn Neofaschisten ähnlich krass drauf sind wie ihre Vorgänger, dann mache ich mir um meine Daten eigentlich keine Sorgen sondern um das Wohl und Wehe meiner Mitmenschen. Denn um Passwörter und andere Informationen aus Menschen herauszubekommen gibt es andere Methoden. Ich stelle mir das so vor: Man unterzieht "Verschlüsselungsbenutzungsverdächtigte" (kurz: "Ververs") eines Teletubbies Marathons. Wie lange wird deine eigene Verschlüsselung halten?

Auch die Entwicklungen in den neurosciences werden Instrumente zur Beschaffung von geheimgehaltenen Informationen hervorbringen. Über "lang", aber sicherlich früher als "Milliarden von Milliarden von Fantastillionen von Jahrtausenden" Jahre.

Und wieder meine Frage: Sind deine Daten so belastend, wichtig oder anderweitig wertvoll (für Neofaschisten)?

 

[SilentCry]

Erstens: Die Tatsache, OB überhaupt was Interessantes für die Neofaschisten dabei ist IST bereits ein Datum, das es geheim zu halten gilt.
Zweitens: Wir können die Diskussion beenden, wenn du a) Folter und Mord für einen Rechtsstaat (ein Überwachungsstaat ist nicht automatisch ein Unrechtsstaat, er ist "nur" faschistoid und nicht mehr freiheitlich organisiert) etablierst oder b) Science Fiction-Hirnsonden ins Spiel bringst. Beides ist nach Stand der Dinge nicht anwendbar und die Position "In 10 Jahren können "die" eh Gedanken lesen" kontere ich mit "In 10 Jahren habe ich ein Mittel dagegen, dass meine Gedanken gelesen werden". "Freiheit oder Tod" ist für mich kein leerer Spruch.

Und drittens: Ich gehe bei meinen Betrachtungen von einer Verdopplung der Computerleistung alle 2 Jahre aus (in Anlehnung an Moorsches Gesetz - ich weiß, es ist umstritten ob man das so auslegen darf)
Also Angenommen ein Passwort könnte heute in 10 hoch 18 Jahren geknackt werden. Dann kann man das in 2 Jahren in 0,5*10hoch18.
Abstrakt in (0,5 hoch x) * (10 hoch 18) (ich weiß, die Klammern sind unnötig, aber die Lesbarkeit profitiert davon), wobei "x" die Zwei-Jahresschritte sind.
(also x=4 sind 8 Jahre)
Nun stellt sich die Frage, in wie vielen Jahren hat man eine Computerleistung, die das Passwort in "nur" 10 Jahren knackt, also 0,5 hoch x mal 10 hoch 18=10 ist.
Antwort: Der Logarithmus zur Basis 0,5 von1 durch 10 hoch 17. Das ist jetzt, wenn ich mich nicht verrechnet habe, in _rund_ x=56, d.h. in 112 Jahren.
Wie gesagt, bei einer VERDOPPLUNG (!) der Computerleistung alle 2 Jahre. Reines BruteForce. Und bei einem Ausgangsschlüssel, der heute "nur" 10 hoch 18 Jahre überhaupt halten würde.

Zur Veranschaulichung:
X Bruteforcezeit
1 ______ 500.000.000.000.000.000
2 ______ 250.000.000.000.000.000
3 ______ 125.000.000.000.000.000
4 ______ 62.500.000.000.000.000
5 ______ 31.250.000.000.000.000
6 ______ 15.625.000.000.000.000
7 ______ 7.812.500.000.000.000
8 ______ 3.906.250.000.000.000
9 ______ 1.953.125.000.000.000
10 ______ 976.562.500.000.000
11 ______ 488.281.250.000.000
12 ______ 244.140.625.000.000
13 ______ 122.070.312.500.000
14 ______ 61.035.156.250.000
15 ______ 30.517.578.125.000
16 ______ 15.258.789.062.500
17 ______ 7.629.394.531.250
18 ______ 3.814.697.265.625
19 ______ 1.907.348.632.813
20 ______ 953.674.316.406
21 ______ 476.837.158.203
22 ______ 238.418.579.102
23 ______ 119.209.289.551
24 ______ 59.604.644.775
25 ______ 29.802.322.388
26 ______ 14.901.161.194
27 ______ 7.450.580.597
28 ______ 3.725.290.298
29 ______ 1.862.645.149
30 ______ 931.322.575
31 ______ 465.661.287
32 ______ 232.830.644
33 ______ 116.415.322
34 ______ 58.207.661
35 ______ 29.103.830
36 ______ 14.551.915
37 ______ 7.275.958
38 ______ 3.637.979
39 ______ 1.818.989
40 ______ 909.495
41 ______ 454.747
42 ______ 227.374
43 ______ 113.687
44 ______ 56.843
45 ______ 28.422
46 ______ 14.211
47 ______ 7.105
48 ______ 3.553
49 ______ 1.776
50 ______ 888
51 ______ 444
52 ______ 222
53 ______ 111
54 ______ 56
55 ______ 28
56 ______ 14
57 ______ 7
58 ______ 3
59 ______ 2
60 ______ 1
Das ist aber, wie gesagt, bereits der Worst Case mit der Verdopplung der Rechenleistung LINEAR alle 2 Jahre. Das findet real nicht statt.

Wichtig in dem Zusammenhang ist natürlich, ein möglichst langes PWD mit Groß- und Kleinbuchstaben sowie Zahlen zu verwenden. Wenn man sicher ist, dass man damit keine Probleme bekommt, kann man auch Sonderzeichen verwenden (aber wie gesagt, das kann bei unterschiedlichen Tastaturlayouts dann zu Eingabeschwierigkeiten führen).

 

[naich]

...Ich gehe bei meinen Betrachtungen von einer Verdopplung der Computerleistung alle 2 Jahre aus (in Anlehnung an Moorsches Gesetz - ich weiß, es ist umstritten ob man das so auslegen darf)

Welches schon heute nicht mehr gilt.

Ich vermute eher, das es in 60 Jahren bessere Verfahren zum Knacken der heutigen Verschlüsselung gibt, welche auf effizientere mathematische Algorithmen beruhen. Aber wer kann heute schon in dem Gebiet irgendwas vorraussagen...

 

[Warp-x]

Erstens: Die Tatsache, OB überhaupt was Interessantes für die Neofaschisten dabei ist IST bereits ein Datum, das es geheim zu halten gilt.
Zweitens: Wir können die Diskussion beenden, wenn du a) Folter und Mord für einen Rechtsstaat (ein Überwachungsstaat ist nicht automatisch ein Unrechtsstaat, er ist "nur" faschistoid und nicht mehr freiheitlich organisiert) etablierst oder b) Science Fiction-Hirnsonden ins Spiel bringst. Beides ist nach Stand der Dinge nicht anwendbar und die Position "In 10 Jahren können "die" eh Gedanken lesen" kontere ich mit "In 10 Jahren habe ich ein Mittel dagegen, dass meine Gedanken gelesen werden". "Freiheit oder Tod" ist für mich kein leerer Spruch.

(...)

Das ist aber, wie gesagt, bereits der Worst Case mit der Verdopplung der Rechenleistung LINEAR alle 2 Jahre. Das findet real nicht statt.

Wichtig in dem Zusammenhang ist natürlich, ein möglichst langes PWD mit Groß- und Kleinbuchstaben sowie Zahlen zu verwenden. Wenn man sicher ist, dass man damit keine Probleme bekommt, kann man auch Sonderzeichen verwenden (aber wie gesagt, das kann bei unterschiedlichen Tastaturlayouts dann zu Eingabeschwierigkeiten führen).

a) Fair enough.
b) Das ist kein Science Fiction. Wenn man heute (gerade gesehene) Bilder aus dem Gehirn von Menschen auslesen kann, muss das nicht mehr lange dauern.

Aber ok, wir können die Diskussion zu diesen Punkt beenden.

Danke für deine ausführliche Antwort. Deine bruteforce Argument jedoch hat für mich einen kritischen Haken: Es vollzieht sich ein Paradigmenwechsel. Moores Gesetz ist in deinem Argument nur der worst case wenn es um Transistor-basierte Computer geht.

 

[Moriarty]

Und drittens: Ich gehe bei meinen Betrachtungen von einer Verdopplung der Computerleistung alle 2 Jahre aus (in Anlehnung an Moorsches Gesetz - ich weiß, es ist umstritten ob man das so auslegen darf)
Also Angenommen ein Passwort könnte heute in 10 hoch 18 Jahren geknackt werden. Dann kann man das in 2 Jahren in 0,5*10hoch18.
(...)
Wie gesagt, bei einer VERDOPPLUNG (!) der Computerleistung alle 2 Jahre. Reines BruteForce. Und bei einem Ausgangsschlüssel, der heute "nur" 10 hoch 18 Jahre überhaupt halten würde.
(...)
Wichtig in dem Zusammenhang ist natürlich, ein möglichst langes PWD mit Groß- und Kleinbuchstaben sowie Zahlen zu verwenden. Wenn man sicher ist, dass man damit keine Probleme bekommt, kann man auch Sonderzeichen verwenden (aber wie gesagt, das kann bei unterschiedlichen Tastaturlayouts dann zu Eingabeschwierigkeiten führen).

Wichtig hierbei auch: Noch vor ein paar Jahren war die Hardware, um eine exorbitante Rechenleistung zu erhalten (also große Clusterverbände von Rechnern, sog. "Supercomputer") nur Universitäten, Staaten, dem Militär oder Großunternehmen zughänglich.
Schon heute kann jeder Privatmann über z.B. Amazon EC2 skalierbare Rechenleistung anmieten, und damit u.U. auch in ein paar Tagen oder Wochen Brute-Force-Attacken ausführen, für die er mit seinem Heimcomputer Jahrzehnte bräuchte...

Wenn man diesen Faktor in Deine Beispiele mit einrechnet, sind - je nach Wert der Daten - auch vermeintlich sichere Passworte nicht ganz so sicher...

"A German white-hat hacker named Thomas Roth claims he has found a way to use EC2 and some custom software to crack the password of WPA-PSK-protected networks in around 20 minutes. (...), about $1.68 worth of time on Amazon EC2. (Amazon charges 28 cents per minute to use its services.)"
http://www.infoworld.com/t/data-security/amazon-ec2-enables-brute-force-attacks-the-cheap-447

 

[SilentCry]

Der geht von 400.000 PWDs/Sec aus. Das kann man jetzt ausrechnen, ein sagen wir 30 Stellen langes PWD, Zahlen, Groß- und Kleinbuchstaben (10+26+26=56 Zeichen) hat 56 hoch 30 Möglichkeiten.
Das sind 27.902.351.804.926.128.443.097.421.825.551.620.346.397.834.669.457.408
ergo: rund 27E17 Möglichkeiten. Er kann 400.000/Sekunde, ergo
69.755.879.512.315.321.106.648.621.357.931.917.720.451.809.280
rund 69E15 Sekunden. Also 2.211.944.428.980.064.723.013.758.450.582.843.031.552 Jahre (2E13) wenn ich jetzt keinen Fehler beim Stellen-Zählen gemacht habe.

 

[Warp-x]

Wobei Du immer noch annimmst, das nicht irgend jemand plötzlich eine System entwickelt, dass den Passwörter pro Sekunde Prozess nicht exponentiell beschleunigt. Und dann auch noch, dass diese Veränderung nur der erste Anfang einer neuen Technologie ist. Darauf kann man sich natürlich nicht vorbereiten.

Ich bin raus!

 

[ImperatoR]

Ein theoretischer Quantencomputer braucht für jede Berechnung einen Taktzyklus. Also ein n-stelliges Passwort ist in einem Taktzyklus geknackt. Public-Key bzw. RSA wird (leider) nutzlos.

Aber genial finde ich den Gedanken, dass man in einer Naturkonstante (wie Pi) nach allem suchen kann (weil unendlich.) Somit könnte man also theoretisch auch zukünftige Ereignisse ausrechnen bzw. finden.

Aber ein theoretischer Quantencomputer ist halt nur Theorie.